--> Archiwum Forum
Annihilator [ ]
uwaga ktoś na forum ma wirusa (chyba :))
otóż dostałem jakiś czas temu od Mr_Bagginsa maila o temacie A special funny game i teraz dostałem od ShadowNeta... więc coś się swięci uważajcie...
ShadowNET [ SNC WS1 ]
wiem.. wykrylem u siebie klez'a (fuckin jeden) juz szukam sprawcy:)
ShadowNET [ SNC WS1 ]
tylko jest problem. usunalem go(kleza) okolo 16.00 i do tego nie mam Anniego na liscie. Ktos inny musi go miec.
wojtess [ Generaďż˝ ]
KTO MA WIRUSA !!!
Marcio [ Muchożerny Ścianołaz ]
jakiego wirusa !! chlopie wrzuc na luzik
Mr_Baggins [ Senator ]
Anni --> ja też nie mam Cię na liście... Sprawdziłem InnoculatIt i niczego nie wykrył.
Marcio [ Muchożerny Ścianołaz ]
jakim progamem sprawdzacie kto ma virusa
massca [ ]
to prawda ja sprawdzam poczte przez www zeby dziadostwa nie sciagac na komputer.... i to sa maile od ludzi z forum
^quqoch^ [ Paweł Romanowicz ]
Ostatnio ktos pisal o takim virze (tzn. z tym tematem), moze to to?
Ashura [ Generaďż˝ ]
o w dupe... a ja mam konto w domenie providera i nie mam mozliwosci odebrania przez www... tylko Outlook-like progs... :(((
Ashura [ Generaďż˝ ]
Poza tym mialem juz KlezE ... powiem jedno ... strzeżcie się draństwa ... jak was dorwie to nie ruszycie skur****na niczym innym niż jakimś Online Scannerem ...
Annihilator [ ]
o wrzućcie adres dobrego online scannera... aha ja mam netszkape (juhuuuu :))
Riven [ infamousbutcher ]
heh, ja od paru dni caly czs dostaje takie maila...funny game etc. Od Vostoka, Stellnicy, Solnicy, Annihilatora... WY ZLI! :)
Annihilator [ ]
odemnie???? dawac linka do skanera :)
massca [ ]
ja wlasnie w tej chwili dostalem maila od niejakiego quqocha (to chyba z forum osoba?) z tytulem KLaz immunity czy cos takiego wykasowalem bez otwierania ale moj norton antivirus go przepuscil na dysk..... fuck.... czemu w ogole ktos ma moj adres mailowy u siebie ???
wert [ Ronin ]
Ale numer ten wirus chyba ewoluuje. najpierw dostałem maila "a very nice game" no a teraz "a very new game".
fistik [ I'm FLASH'ed ]
ja też dostałem dziś wirusa od trzech osób z forum... na szczęście NAV zadziałał
Jordan [ Chor��y ]
Co wy nie macie AntyVirusów????
wysiu [ ]
Anni -->
_Luke_ [ Death Incarnate ]
A moze ten wirus siedzi na serwerze GOLa? Bo jesli nie macie adresow osob, ktore dostaly niby od Was wira to skad?
Beren [ Senator ]
ja tez to dostalem trzy razy, z czego dwa razy zatrzymal to nav2002 a za trzecim juz nie...
Annihilator [ ]
ja jutro będe miał (czekałem na orginała)
Annihilator [ ]
wysiu -> merci!
Stary Wuj [ Generaďż˝ ]
Kurwa mać !!!!!!! Odebrałem właśnie maila od osoby o pseudonimie AZZIE :-)))))))) był z załącznimu jakiś plik o głupkowatej nazwie (cyfry i litery) i rozszerzeniu .tmp, wyrzuciłem to, zanim mail się otworzył, ale nie mam pewności, czy pomogło. Nie jestem pewien, czy AZZIE z forum (który Azzie ??? :-) ma mojego maila, podejrzewam, że raczej nie. Więc coś tu nie gra. Uważajmy więc. Stary Wuj
Pijus [ Legend ]
Wuju - to zrobilem ja :))) wiesz za co??? :PPPPPPPPPP
erav [ Senator ]
ja tez cos takiego dostalem...od massci :-O
eeve [ Patrycjószka ]
a ja dostalam niedawno dwa maile od Lophixa (czy dobrze napisalam nicka?) tez chyba zawirusowane, ale od razu trafily do kosza (no chyba ze Lophix do wszystkich po angielsku pisze :P)
Annihilator [ ]
hmm usuneło wirusy ale z inboxa :)))
SilentOtto [ Faraon ]
Z lenistwa, bo nie chce mi sie klepać ---> paste: Również znany jako: W32.Klez.H Typ: robak Niszczący dyski: nie Niszczący pliki: nie Efekty wizualne: nie Efekty dźwiękowe: nie Klez.H to nowa odmiana szybko się rozprzestrzeniającego robaka internetowego Klez. Jego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej, tworzeniu swoich kopii na dyskach sieciowych oraz infekowaniu plików wykonywalnych. Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego, którego temat, treść oraz nazwa załącznika jest tworzona losowo. Oto kombinacje tych parametrów: Temat: Undeliverable mail--"[losowe słowo]" Returned mail--"[losowe słowo]" a [losowe słowo] [losowe słowo] game a [losowe słowo] [losowe słowo] tool a [losowe słowo] [losowe słowo] website a [losowe słowo] [losowe słowo] patch [losowe słowo] removal tools how are you let's be friends darling so cool a flash,enjoy it your password honey some questions please try again welcome to my hometown the Garden of Eden introduction on ADSL meeting notice questionnaire congratulations sos! japanese girl VS playboy look,my beautiful girl friend eager to see you spice girls' vocal concert japanese lass' sexy pictures gdzie losowe słowo to jedno z następujących:
SilentOtto [ Faraon ]
Cd. ---> Również znany jako: Trojan.Worm.Klez.E Typ: robak Podtyp: plikowy Niszczący dyski: nie Niszczący pliki: tak Efekty wizualne: nie Efekty dźwiękowe: nie Data aktywacji: 6 każdego miesiąca Klez.E jest nowym wariantem znanego robaka Klez, który rozsyła swoje kopie pocztą elektroniczną oraz infekuje pliki wykonywalne. Szóstego dnia każdego miesiąca wirus wyzerowuje (a najczęściej zastępuje dowolnymi śmieciami) pliki o następujących rozszerzeniach: txt, htm, html, wab, doc, xls, jpg, cpp, c, pas, mpg, mpeg, bak oraz mp3. Jeśli jednak miesiącem jest styczeń lub lipiec wirus stara się tak potraktować wszystkie pliki na dysku, bez względu na rozszerzenie. Pliki takie są już nieodwracalnie zniszczone. Jedyna szansa na odzyskanie takich plików, to odtworzenie ich z kopii bezpieczeństwa (backup'u). Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego napisanego w standardzie HTML, z losowym tematem i treścią oraz plikiem załącznika, będącym bądź bezpośrednio plikiem wykonywalnym, bądź skompresowanym w archiwum RARa plikiem wykonywalnym, którego nazwa tworzona jest według następujących reguł: Pierwszy element nazwy: setup install demo snoopy picacu kitty play rock Drugi element nazwy dla archiwum RARa: .txt .htm .html .wab .doc .xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3 Trzeci element nazwy dla archiwum RARa lub drugi element dla zwykłego pliku wykonywalnego: .exe .scr .pif .bat Zatem nazwa pliku załącznika może być np. taka: setup.txt.exe lub picacu.pif. Robak zawiera w treści listu elektronicznego wywołanie pliku załącznika, co w niezabezpieczonych programach MS Outlook i MS Outlook Express powoduje automatyczną aktywizację robaka w momencie oglądania treści wiadomości. Przykładowe tematy listów wysyłanych przez robaka: A WinXP patch A IE 6.0 patch A funny game A funny website A new website A nice game A powful tool A special excite game A special powful tool A very funny game A very good tool A very humour game A very nice game Returned mail--"XXXX." W32.Elkern removal tools W32.Klez removal tools Przykładowe treści listów wysyłanych przez robaka: Hi,This is a WinXP patch I expect you would like it. This is a IE 6.0 patch I wish you would like it. This is a funny game This game is my first work. You're the first player. I expect you would like it. Hi,This is a special funny website I expect you would like it. This is a very excite game This game is my first work. You're the first player. I expect you would like it. This is a very nice game This game is my first work. You're the first player. I hope you would like it. The following mail can't be sent to [email protected]: From: [email protected] To: [email protected] Subject: zero wskazuje pierwsz The file is the original mail YYYYY give you the special W32.Klez removal tools W32.Klez is a special dangerous virus that spread through email. For more information,please visit https://www.YYYYY.com YYYYY give you the W32.Elkern removal tools W32.Elkern is a dangerous virus that can infect on Win98/Me/2000/XP. For more information,please visit https://www.YYYYY.com (gdzie YYYYY jest nazwa firmy anty-wirusowej) This is a special powful tool I hope you would enjoy it. This is a special good tool I expect you would like it. This is a new website I wish you would enjoy it. Hello,This is a excite game This game is my first work. You're the first player. I expect you would like it. This is a very humour game This game is my first work. You're the first player. I hope you would like it. Po aktywizacji robak tworzy swoją kopię w katalogu systemu Windows w pliku o nazwie winkxxx.exe, gdzie xxx to losowe liczby. Dodatkowo Klez.E posiada możliwości infekowania plików wykonywalnych typu exe poprzez dołączanie do nich swojego kodu. Przy uruchomieniu zainfekowanego pliku robak wypakowuje swój kod na dysk do pliku o nazwie zainfekowanego pliku z dodanym rozszerzeniem mp8 i następnie go uruchamia. Ponadto robak ma możliwości rozprzestrzeniania się przez sieć lokalną, tworząc swoje kopie na udostępnionych do zapisu zasobach innych komputerów. Klez.E stara się również wyłączyć działanie niektórych programów antywirusowych oraz zapisuje na dysku kopię innego wirusa Klez.B. Robak rozsyła się za pomocą poczty elektronicznej do adresatów odnalezionych w książce adresowej systemu Windows oraz w bazie użytkowników ICQ, dlatego też zarówno w polu From:, To: jak i Return-Path: nie znajdziemy prawdziwego adresu email z którego wysłany został email z robakiem. Do wysyłania się używa własnego silnika SMTP, zatem może się rozsyłać również z komputera, na którym nie jest zainstalowany żaden program pocztowy. -------------------------------------------------------------------------------- Zmiany w rejestrach w Windows98: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Winxxx"="C:\\WINDOWS\\SYSTEM\\Winxxx.exe" "WQK"="C:\\WINDOWS\\SYSTEM\\Wqk.exe" Litery xxx są losowe (a...z). Dwa losowe pliki z C:\Program Files\ sa trojanizowane (doczepiany jest kod robaka) robakiem i infekowany jest cfgwiz32.exe. System Windows98 po ataku robaka nie będzie startował, da się uruchomić jedynie w trybie awaryjnym. Spowodowane jest to uszkodzeniem znacznej części plików *.dll i niektórych sterowników. Problem występuje przy ładowaniu vip.386 (urzędzenie dynamiczne). -------------------------------------------------------------------------------- Zmiany w rejestrach Windows NT/2000: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="Wqk.dll" Klucz związany z dodanym serwisem wirusa: [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINKOP] Nazwa serwisu to WINKxx lub WINKxxx (dwie lub trzy losowe litery). W tych systemach robak trojanizuje (doczepia kod robaka) dwa programy: dialer.exe - dzwonienie do internetu conf.exe - konfigurator programu NetMeeting Po ich uruchomieniu robak wyrzuca z siebie wirusa W32.Klez.3520 którym infekuje dwa pliki *.exe. Powtórne uruchomienie strojanizowanych programów nie jest już możliwe z powodu błędów. Przed leczeniem należy zastopować serwis robaka, ustawić go aby po bootowaniu nie uruchamiał się automatycznie oraz wyrzucić wpis z rejestru dotyczący Wqk.dll.
SilentOtto [ Faraon ]
Skaner on-line --->
Annihilator [ ]
thx! jak będe miał chwilke to zobacze czy go mam
Annihilator [ ]
zeskanowąłem i nie mam :) uff :)
SilentOtto [ Faraon ]
Robale nie są groźne - tylko uciążliwe dla znajomych z książki adresowej ;o)))
Mr_Baggins [ Senator ]
UWAGA --> TO MOŻE BYĆ BADTRANS II. NALEZY POBRAC ZE STRONY MKS PLIK "USUŃ BADTRANS" I PO KŁOPOCIE.
SilentOtto [ Faraon ]
Miało byc w wiekszości przypadków nie są...
Ashura [ Generaďż˝ ]
Mały opisik co KlezE potrafi Automatycznie po otworzeniu maila przez Outlooka, Bata lub inny tego typu program wpisuje się w rejestr (nie ustalilem czy zawsze w to samo miejsce) i tworzy 2 pliki w katalogu Systemowym windowsa... niestety po tym jak padł mi dysk nie pamiętam ich dokładnej nazwy... musicie przeszukać ten katalog i usunąć te pliki... trzeba też znaleźć wpisy w rejestrze wyszukując je poprzez wpisanie w Find nazwy tych plików, a następnie je usunąć... poza tym gdy już wirus zacznie działać, nie będziecie w stanie uruchomić żadnej aplikacji... po kilkunastu sekundach działania, aplikacja zamyka się sama, a exec odpowiedzialny za jej uruchomienie zostaje wykasowany... dlatego właśnie mowa o porządnym Online Scannerze, żadne Nortony, AVP i inne antywirusy nie pójdą... pamietajcie też o tym, że KleZ tworzy pliki zainfekowane sam... często mają one status ukrytych, więc nie zapomnijcie o nich... Jeszcze jedno... starajcie się za wszelką cenę nie restartować komputera... uporajcie się z łachudrą od razu... inaczej może być za późno dla Waszego systemu i być może danych na dysku...
Annihilator [ ]
a czy netszkapa sama otwiera załączniki?
SilentOtto [ Faraon ]
Badtrans Typ: robak Niszczący dyski: nie Niszczący pliki: nie Efekty wizualne: nie Efekty dźwiękowe: nie Badtrans jest 32-bitowym programem pełniącym funkcję robaka internetowego automatycznie przesyłającego swoje kopie pocztą elektroniczną na nieodpowiedziane emaile. Dodatkowo instaluje on w systemie konia trojańskiego. Zwykle robak pojawia się w komputerze ofiary w postaci odpowiedzi na wysłany przez nią list elektroniczny, do której dołączony jest plik o jednej z następujących nazw:
Stary Wuj [ Generaďż˝ ]
CZYSTO !!!!!!! PIJUS ---> wiem za co :-))))))))))))))))) Stary Wuj PS. PANZER ELITE to zajebista gra !!!!!!!!!!!!!!!!!!
Mr_Baggins [ Senator ]
Czy skaner mks online starczy na klezE? Czy trzeba otworzyć maila, żeby się zainstalował? Jak wywaliłem maila bez otwierania go (tylko w oknie podglądu była treść) to robak mógł się zainstalować?
Ashura [ Generaďż˝ ]
Mr_Baggins --> Owszem... jeżeli w Outlooku miałes treść, to istnieje duże prawdopodobieństwo, że KlezE gdzieś Ci tam siedzi... najlepiej nie uruchamiaj żadnych aplikacji tylko od razu skorzystaj ze skanera online... i owszem... mks wystarczy...
Mr_Baggins [ Senator ]
no to po kłopocie ten mail nie miał załącznika, tylko link, na który nie klikałem :)
Xelloss [ Senator ]
Ja miałem virusa o nazwie Klez.e.worm. Noczym nie dało sie go ruszyć. Trzeba było Windę przeinstalować.
Maxwell [ ]
uff...skasowalem te pliki C:\WINDOWS\TEMP\rowspan_bat (6).mid C:\WINDOWS\TEMP\rowspan_bat (7).mid wlasnie na nich u mnie siedzial virusik
neXus [ Fallen Angel ]
Jak to milo odbierac poczte na mac'u :))) A tak a propos, Massca masz/miales tego wirusa bo przyszedl od ciebie mail'em...
Mr_Baggins [ Senator ]
A może ten trojan ma coś wspólnego z "progress quest"?
zarith [ ]
raczej nie. Maila nie było gdzie podać:P a do mnie takie maile nie przychodzą (a może przychodzą? Jakis dowcipniś dopisał mie do list mailingowych stron porno więc co dzień wywalam z 4 maile bez otwierania :-))
Peleque [ Generaďż˝ ]
Goraco polecam uzywanie programow takich jak np. PopTray. Sprawdza sobie w zadanym czasie serwer pocztowy i powiadamia jezeli przyjda jakies maile. Mozna przejrzec naglowki bez sciagania czegokolwiek do siebie, wyeliminowac spam i robale z daleka od domu :)
Lophix [ Lege r ]
eeve --> Oczywiscie to nie ja, zastanawia mnie tylko kto i po co dodal sobie do ksiazki adresy wiekszosci forumowiczow. Jesli chcial wysylac spam to dobrze mu tak teraz :)
zarith [ ]
mi sie wydaje że jedynym miejscem gdzie WSZYSTKIE te adresy są, jest baza adresowa foroom GOL-a. Może to Ich zaraziło..
massca [ ]
z ta baza adresowa GOLa to moze prawda bo neXus dostal ode mnie maila z wirusem a ja go w ogole nie znam i nigdy nie mialem jego adresu w mojej ksiazce adresowej.... strange days
Beren [ Senator ]
qrde, dostawanie wciaz tego samego wirusa juz troche mnie nudzi ;) a co ciekawe juz dwa razy dostalem go od coy2k, a pozostale od innych loodzi (nie tylko z forum...)
neXus [ Fallen Angel ]
A tak a propos - na czym stoi serwer GOL'a Mozliwe ze zostal zarazony...
_Luke_ [ Death Incarnate ]
A jak mowilem ([28.04] 22:25) to mnie nikt nie posluchal ;)
Xelloss [ Senator ]
Ja dostałem e-maila od erava i teraz nie wiem czy go otworzyć. Więc mam pytanie: Erav, czy wysłałeś do mnie maila o temacie "honey"?
Sir klesk [ Sazillon ]
ja tez 2 dni temu dostale meila i byl w nim wirus... ale moj program go usunal :) kurcze o co tu chodzi???
Mr_Baggins [ Senator ]
Znowu jakieś gówno przyszło pocztą... Tylko czemu nie ma załączników? Czy możliwe, że zablokował je firewall na sieci lokalnej?
Kruk [ In Flames ]
też takie g... dostaje ! najpierw od tramera, a późneij od wolkova
xywex [ mlask mlask! ]
Ja dostaję codziennie po trzy takie emaile, norton przepuszcza je za każdym razem. Ciekawe dlaczego?
Xelloss [ Senator ]
Ja już nie dostanę wirusa z forum hyhyhy :). Spójrzcie na adres e-mail :).
xywex [ mlask mlask! ]
Xelloss --> Pozwolisz że ściągne ten pomysł :-)
xywex [ mlask mlask! ]
Xelloss --> Pozwolisz że ściągne ten pomysł :-)
reik [ Pretorianin ]
a nie mozecie po prostu nie uzywac outlook-expressa? ja tam uzywam mozilli do poczty i newsow sobie ja chwale :-) no i nie mam takich stresow jak co poniektorzy w tym watku...
Mr_Baggins [ Senator ]
Można też wyrwać kabel od internetu i nie instalować żadnych programów, wtedy problem wirusów zniknie.
Annihilator [ ]
gofer - masz syfa :) dostaje tez maila od innych nie znanych mi osób.. ech...
Dagger [ Legend ]
Mi też zdarzają się takie niespodzianki - chociaz nasilenie był parę miesięcy temu
Beren [ Senator ]
Wlasnie po raz kolejny dostalem maile z tym witusem, pomimo, ze zastosowalem cos podobnego jak Xelloss :( A poza tym dostalem jeszcze maila o tresci: Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it. We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC. NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it. If so,Ignore the warning,and select 'continue'. If you have any question,please mail to me. I mail ten rowniez zawieral kleza...